2012/10/12

剛check了一下snort的版本
snort 2.9.3.1
並且發現官方已經不再提供 snort-mysql的rpm了
google了一下 snort以後也不會再對mysql支援
所以必須自己想辦法
必須利用
barnyard2
http://www.securixlive.com/barnyard2/index.php
來把snort 的log再轉入mysql
正在try
http://gsxbinary.blogspot.tw/2010/07/snort-barnyard2-mysql-base-intro.html

2012/10/15 補充

安裝 snort-2.9.3.1-1 這個版本有一個特別要注意的地方就是

white_list.rules 及 black_list.rules 一定要touch二個空檔出來
否則preprocesser會自動停掉 導致之後的rule都不能跑 切記

另外要注意的地方就是在產生unified2 log file的地方在config裡一定要這樣下

output unified2: filename snort.u2, limit 128

開机啟動的script放在/etc/rc.local如下


/usr/sbin/snort -c /etc/snort/snort.conf -i eth1 -l /var/log/snort -D

/usr/bin/barnyard2 -c /etc/barnyard2/barnyard2.conf -d /var/log/snort -f snort.u2 -w /etc/barnyard2/barnyard2.waldo -D

2012/10/17 補充

升級後在BASE的畫面中看到的特徵就只有snort alert 如下


爬了一下文
發現是/etc/barnyard2/barnyard2.conf裡沒設好
要改成如下(路徑要設對)

config reference_file:      /etc/snort/rule/etc/reference.config
config classification_file: /etc/snort/rule/etc/classification.config
config gen_file:            /etc/snort/rule/etc/gen-msg.map
config sid_file:            /etc/snort/rule/etc/sid-msg.map

重開机後就正常了

沒有留言: